Esquema de eventos de Google Security Operations

En BigQuery, la tabla llamada events almacena los registros de eventos de la AUA.

El campo hour_time_bucket identifica la partición como la hora del día en el campo UDM metadata.event_timestamp. Los valores del campo hour_time_bucket son marcas de tiempo por hora que tienen el formato <AAAA-MM-DD HH:MM:SS UTC>. Estos son algunos ejemplos:

• 2022-05-20 00:00:00 UTC
• 2022-05-20 01:00:00 UTC
• 2022-05-20 02:00:00 UTC
• 2022-05-20 03:00:00 UTC

Por ejemplo, el valor 2022-05-20 00:00:00 UTC etiqueta los datos con una marca de tiempo de event_timestamp entre 2022-05-20 00:00:00 UTC y 2022-05-20 00:59:59 UTC. Para obtener más información, consulta Cómo consultar tablas particionadas.

El tiempo que tardan los datos en aparecer en la tabla events depende de la diferencia entre el momento en que el dispositivo registra el evento, el metadata.event_timestamp, y el momento en que ese evento se transfiere al SIEM de Google Security Operations, el metadata.ingested_timestamp.

A continuación, se resume el tiempo que tardan los datos en aparecer en la tabla events después de que los recibe Google Security Operations:

• Si la diferencia es inferior a dos horas, los datos aparecen aproximadamente 2 horas después de que se transfieren.
• Si la diferencia es de entre 2 y 24 horas, los datos pueden tardar hasta 4 horas en aparecer después de la transferencia.
• Si la diferencia es superior a 24 horas, los datos pueden tardar hasta 5 días en aparecer después de la transferencia.

El esquema de la tabla events cambia con regularidad. Para ver información sobre la tabla, incluido el esquema actual, consulta las instrucciones de BigQuery para obtener información de la tabla.

Para acceder al esquema events, haz lo siguiente:

1. Abre la consola de Google Cloud y, luego, selecciona el ID del proyecto de Google Security Operations que te proporcionó tu representante de Google Security Operations.

2. Selecciona BigQuery > BigQuery Studio > datalake > events.

   

   Figura: Tabla events en BigQuery

Modelo de datos de Events para paneles

En los paneles incorporados de Google Security Operations, verás la estructura de datos llamada Eventos de la AUA. Este es un modelo de datos de Looker creado para la tabla events en BigQuery.

La tabla incluye los campos de la AUA más utilizados. No incluye todos los campos de la UDM. Si faltan campos de la AUA que debes incorporar en un panel personalizado, comunícate con tu representante de Google Security Operations.

Para ver los campos en esta exploración, sigue estos pasos:

1. En la barra de navegación, haz clic en Paneles.
2. Crea un panel nuevo (haz clic en Agregar > Crear uno nuevo) o edita uno existente.
3. Agrega una tarjeta.
4. Selecciona Visualización como el tipo si se te solicita.
5. En la lista de tablas, selecciona Eventos de la AUA.

6. Explora la lista de campos.

   

   Figura: Lista de campos en el modelo de datos de eventos de Google Security Operations

¿Qué sigue?

• Consulta una descripción de cada campo de la UDM en la lista de campos del modelo de datos unificado.
• Para obtener información sobre cómo acceder a consultas y ejecutarlas en BigQuery, consulta Ejecuta trabajos de consulta interactivos y por lotes.
• Para obtener información sobre cómo consultar tablas particionadas, consulta Consulta tablas particionadas.
• Para obtener información sobre cómo conectar Looker a BigQuery, consulta la documentación de Looker sobre cómo conectarse a BigQuery.
• Información para consultar tablas particionadas.